Cisco ASA 1000V CLI コンフィギュレーション for ASDM モード ASA 1000V 用ソフトウェア バージョン 8.7
スタティック ルートおよびデフォルト ルートの設定
スタティック ルートおよびデフォルト ルートの設定
発行日;2012/12/17 | 英語版ドキュメント(2012/08/20 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 9MB) | フィードバック

目次

スタティック ルートおよびデフォルト ルートの設定

ルーティングに関する情報

スイッチング

スタティック ルートとデフォルト ルートに関する情報

内でのルーティングの仕組み

出力インターフェイスの選択プロセス

ネクスト ホップの選択プロセス

ルーティング テーブルに関する情報

ルーティング テーブルの表示

転送の決定方法

スタティック ルートおよびデフォルト ルートの設定

デフォルト スタティック ルートの設定

スタティック ルートの設定

スタティック ルートの追加または編集

プロキシ ARP のディセーブル化

スタティック ルートまたはデフォルト ルートのモニタリング

スタティック ルートまたはデフォルト ルートの設定例

スタティック ルートおよびデフォルト ルートの設定

この章では、ASA 1000V でスタティック ルートとデフォルト ルートを設定する方法について説明します。次の項目を取り上げます。

「ルーティングに関する情報」

「スタティック ルートおよびデフォルト ルートの設定」

「プロキシ ARP のディセーブル化」

「スタティック ルートまたはデフォルト ルートのモニタリング」

「スタティック ルートまたはデフォルト ルートの設定例」

ルーティングに関する情報

ルーティングは、発信元から宛先にインターネットワーク経由で情報を移動する行為のことです。その間に、通常は少なくとも 1 つの中間ノードがあります。ルーティングは、最適なルーティング パスの決定と、インターネットワーク経由での情報グループ(通常はパケットと呼ばれる)の転送という 2 つの基本的なアクティビティが含まれます。ルーティング プロセスのコンテキストでは、後者のアクティビティがパケット スイッチングと呼ばれます。パケット スイッチングは比較的単純ですが、パスの決定は非常に複雑になることがあります。

ASA 1000V ではスタティック ルーティングだけがサポートされます。

ここでは、次の内容について説明します。

「スイッチング」

「ASA 1000V 内でのルーティングの仕組み」

スイッチング

スイッチング アルゴリズムは比較的単純で、ほとんどのルーティング プロトコルで同じです。ほとんどの場合は、別のホストにパケットを送信しなければならないことをホストが決定します。何らかの方法でルータのアドレスを取得すると、送信元ホストは、ルータの物理(メディア アクセス コントロール(MAC)レイヤ)アドレス宛てに明確にアドレス指定されたパケット、この場合は宛先ホストのプロトコル(ネットワーク層)アドレスを含むパケットを送信します。

パケットの宛先プロトコル アドレスを確認するときに、ルータは、自身がネクスト ホップへのパケットの転送方法を認識しているかどうかを判断します。ルータがパケットの転送方法を認識していない場合は、通常はパケットをドロップします。ルータがパケットの転送方法を認識している場合は、宛先の物理アドレスをネクスト ホップのアドレスに変更し、パケットを送信します。

ネクスト ホップが最終的な宛先ホストであることもあります。最終的な宛先ホストでない場合、ネクスト ホップは通常は別のルータであり、このルータが、同じスイッチング決定プロセスを実行します。パケットがインターネットワークを移動すると、その物理アドレスは変化しますが、プロトコル アドレスは一定のままです。

スタティック ルートとデフォルト ルートに関する情報

接続されていないホストまたはネットワークにトラフィックをルーティングするには、そのホストまたはネットワークへのスタティック ルートを定義するか、または少なくとも、ネットワークと ASA 1000V の間にルータがある場合など、ASA 1000V が直接接続されていない任意のネットワークのデフォルト ルートを定義する必要があります。

スタティック ルートまたはデフォルト ルートが定義されていない場合は、接続されていないホストやネットワークへのトラフィックによって次の syslog メッセージが生成されます。

%ASA-6-110001: No route to dest_address from source_address
 

最も単純なオプションは、すべてのトラフィックをアップストリーム ルータに送信するようにデフォルト ルートを設定して、トラフィックのルーティングをルータに任せることです。しかし、デフォルトのゲートウェイでは宛先ネットワークに到達できない場合があるため、スタティック ルートをさらに詳しく設定する必要があります。たとえば、デフォルトのゲートウェイが外部の場合、デフォルト ルートは、ASA 1000V に直接接続されていない内部ネットワークにはまったくトラフィックを転送できません。

ASA 1000V 内でのルーティングの仕組み

ASA 1000V は、ルーティング テーブルと XLATE テーブルの両方をルーティングの決定に使用します。宛先 IP 変換トラフィック、つまり、変換されていないトラフィックを処理するために、ASA 1000V は既存の XLATE テーブルまたはスタティック変換を検索して出力インターフェイスを選択します。

ここでは、次の内容について説明します。

「出力インターフェイスの選択プロセス」

「ネクスト ホップの選択プロセス」

出力インターフェイスの選択プロセス

選択プロセスは次のとおりです。

1. 宛先 IP を変換する XLATE がすでに存在する場合は、パケットの出力インターフェイスは、ルーティング テーブルではなく XLATE テーブルから決定されます。

2. 宛先 IP を変換する XLATE が存在せず、一致するスタティック変換が存在する場合は、出力インターフェイスはスタティック ルートから決定されて XLATE が作成され、ルーティング テーブルは使用されません。

3. 宛先 IP を変換する XLATE が存在せず、一致するスタティック変換も存在しない場合は、パケットの宛先 IP 変換は実行されません。ASA 1000V は、ルートをルックアップして出力インターフェイスを選択することでこのパケットを処理し、次に発信元 IP 変換が(必要に応じて)実行されます。

通常のダイナミック発信 NAT では、最初の発信パケットがルート テーブルを使用してルーティングされた後、XLATE が作成されます。着信返送パケットは、既存の XLATE だけを使用して転送されます。スタティック NAT では、宛先変換された着信パケットは、常に既存の XLATE またはスタティック変換ルールを使用して転送されます。

ネクスト ホップの選択プロセス

前述のいずれかの方法を使用して出力インターフェイスを選択した後、さらにルート ルックアップが実行され、これまでに選択した出力インターフェイスに属する適切なネクスト ホップが検出されます。選択されたインターフェイスに明示的に属するルートがルーティング テーブルにない場合は、パケットがドロップされてレベル 6 の syslog メッセージ 110001(ホストへのルートなし)が生成されます(別の出力インターフェイスに属する、指定の宛先ネットワークへの別のルートがあるかどうかにかかわらず)。選択した出力インターフェイスに属するルートが見つかると、パケットは対応するネクスト ホップに転送されます。

ASA 1000V でのロード シェアリングは、1 つの出力インターフェイスを使用して複数のネクスト ホップが使用できる場合に限り可能です。ロード シェアリングでは、複数の出力インターフェイスの共有はできません。

ASA 1000V でルート フラップが発生していない場合でも、ルーティング プロセスがその周りでフラッピングしていれば、XLATE がタイムアウトになるまで、ルート テーブルではなく、古い XLATE を使用して宛先変換されたトラフィックが転送されます。トラフィックが、正しくないインターフェイスに転送されたり、ドロップされてレベル 6 の syslog メッセージ 110001(ホストへのルートなし)が生成されたりすることもあります(ルーティング プロセスによって古いルートが古いインターフェイスから削除されて別のインターフェイスに接続された場合)。

セキュリティ トラフィック構成によっては、この問題が高い確率で発生します。具体的には、ほぼすべてのトラフィックが、フローの最初のパケットの方向に応じて、発信元変換されるか宛先変換されるような構成です。ルート フラップの後にこの問題が発生した場合は、 clear xlate コマンドを使用して手動で解決することも、XLATE のタイムアウトによって自動的に解決することもできます。XLATE のタイムアウトは、必要に応じて小さくできます。この問題がほとんど発生しないようにするには、ASA 1000V やその周りでルート フラップが発生しないようにします。つまり、同じフローに属する宛先変換されたパケットが必ず同じ方法で ASA 1000V を通して転送されることを確認します。

ルーティング テーブルに関する情報

ここでは、次の内容について説明します。

「ルーティング テーブルの表示」

「転送の決定方法」

ルーティング テーブルの表示

ルーティング テーブルのエントリを表示するには、次のコマンドを入力します。

hostname# show route
 
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
 
Gateway of last resort is 10.86.194.1 to network 0.0.0.0
 
S 10.1.1.0 255.255.255.0 [3/0] via 10.86.194.1, outside
C 10.86.194.0 255.255.254.0 is directly connected, outside
S* 0.0.0.0 0.0.0.0 [1/0] via 10.86.194.1, outside
 

転送の決定方法

次のガイドラインに従って転送が決定されます。

宛先が、ルーティング テーブル内のエントリと一致しない場合、パケットはデフォルト ルートに指定されているインターフェイスを通して転送されます。デフォルト ルートが設定されていない場合、パケットは破棄されます。

宛先が、ルーティング テーブル内の 1 つのエントリと一致した場合、パケットはそのルートに関連付けられているインターフェイスを通して転送されます。

宛先が、ルーティング テーブル内の複数のエントリと一致し、そのエントリのネットワーク プレフィックス長がすべて同じ場合、その宛先へのパケットはそのルートに関連付けられているインターフェイスに配布されます。

宛先が、ルーティング テーブル内の複数のエントリと一致し、そのエントリのネットワーク プレフィックス長が異なる場合、パケットはネットワーク プレフィックス長がより長いルートに関連付けられているインターフェイスから転送されます。

たとえば、192.168.32.1 宛てのパケットが、ルーティング テーブルの次のルートを使用して ASA 1000V のイーサネット インターフェイスに到着したとします。

hostname# show route
....
R 192.168.32.0/24 [120/4] via 10.1.1.2
O 192.168.32.0/19 [110/229840] via 10.1.1.3
....
 

この場合、192.168.32.1 は 192.168.32.0/24 ネットワークに含まれるため、192.168.32.1 宛てのパケットは 10.1.1.2 宛てに送信されます。このアドレスはまた、ルーティング テーブルの他のルートにも含まれますが、ルーティング テーブル内では 192.168.32.0/24 の方が長いプレフィックスを持ちます(19 ビットに対して 24 ビット)。パケットを転送する場合、プレフィックスが長い方が常に短いものより優先されます。

スタティック ルートおよびデフォルト ルートの設定

この項では、スタティック ルートとスタティック デフォルト ルートを設定する方法について説明します。次の項目を取り上げます。

「デフォルト スタティック ルートの設定」

「スタティック ルートの設定」

デフォルト スタティック ルートの設定

デフォルト ルートは、既知のルートもスタティック ルートも指定されていない IP パケットすべてを、ASA 1000Vが送信するゲートウェイの IP アドレスを特定するルートです。デフォルト スタティック ルートは、宛先の IP アドレスとして 0.0.0.0/0 が指定された単なるスタティック ルートです。特定の宛先が特定されたルートはデフォルト ルートより優先されます。


) 異なるメトリックを持つ個別のインターフェイス上で 2 つのデフォルト ルートが設定されている場合は、大きい方のメトリックを持つインターフェイスから ASA 1000V への接続の確立には失敗しますが、小さい方のメトリックを持つインターフェイスから ASA 1000V への接続は予期したとおりに成功します。


デバイスあたり最大 3 つの等コスト デフォルト ルート エントリを定義することができます。複数の等コスト デフォルト ルート エントリを定義すると、デフォルト ルートに送信されるトラフィックは、指定されたゲートウェイの間に分散されます。複数のデフォルト ルートを定義する場合は、各エントリに同じインターフェイスを指定する必要があります。

4 つ以上の等コスト デフォルト ルート、またはすでに定義されているデフォルト ルートとは別のインターフェイスでデフォルト ルートを定義しようとすると、次のメッセージが表示されます。

“ERROR: Cannot add route entry, possible conflict with existing routes.”
 

トンネル トラフィックには、標準のデフォルト ルートの他に別のデフォルト ルートを 1 つ定義することができます。tunneled オプションを使用してデフォルト ルートを作成すると、ASA 1000V に着信するトンネルからのすべてのトラフィックは、学習したルートまたはスタティック ルートを使用してルーティングできない場合、このルートに送信されます。トンネルから出るトラフィックの場合、このルートは、その他の設定または学習されたデフォルト ルートをすべて上書きします。

制限事項

tunneled オプションが指定されたデフォルト ルートには、次の制限事項が適用されます。

トンネル ルートの出力インターフェイスで、ユニキャスト RPF( ip verify reverse-path コマンド)をイネーブルにしないでください。この設定を行うと、セッションでエラーが発生します。

トンネル ルートの出力インターフェイスで、TCP 代行受信をイネーブルにしないでください。この設定を行うと、セッションでエラーが発生します。

VoIP インスペクション エンジン(CTIQBE、H.323、GTP、MGCP、RTSP、SIP、SKINNY)、DNS インスペクション エンジン、または DCE RPC インスペクション エンジンは、トンネル ルートでは使用しないでください。この設定を行うと、セッションでエラーが発生します。

tunneled オプションでは、複数のデフォルト ルートを定義できません。

トンネル トラフィックの ECMP ルーティングはサポートされません。

手順の詳細

 

コマンド
目的
route if_name 0.0.0.0 0.0.0.0 gateway_ip [ distance | tunneled ]
 

hostname(config)# route outside 0 0 192.168.2.4 tunneled

スタティック ルートを追加できます。

dest_ip および mask 引数は宛先ネットワークの IP アドレスであり、 gateway_ip 引数はネクスト ホップ ルータのアドレスです。スタティック ルートに指定するアドレスは、ASA 1000Vに到達して NAT を実行する前のパケットにあるアドレスです。

distance 引数は、ルートのアドミニストレーティブ ディスタンスです。値を指定しない場合、デフォルトは 1 です。アドミニストレーティブ ディスタンスは、複数のルーティング プロトコル間でルートを比較するのに使用されるパラメータです。スタティック ルートのデフォルトのアドミニストレーティブ ディスタンスは 1 で、ダイナミック ルーティング プロトコルで検出されるルートより優先されますが、直接には接続されていないルートです。接続されているルートは常に、スタティック ルートおよびダイナミックに検出されたルートのどちらよりも優先されます。

宛先ネットワーク アドレスおよびマスクとして、0.0.0.0 0.0.0.0 の代わりに 0 0 と入力することができます。たとえば、次のように入力します。

hostname(config)#
route outside 0 0 192.168.1 1

コマンドを使用して管理インターフェイスでルートを作成する必要があります。


 

スタティック ルートの設定

スタティック ルーティング アルゴリズムは、基本的にはルーティングの開始前にネットワーク管理者によって確立されるテーブル マッピングのことです。このようなマッピングは、ネットワーク管理者が変更するまでは変化しません。スタティック ルートを使用するアルゴリズムは設計が容易であり、ネットワーク トラフィックが比較的予想可能で、ネットワーク設計が比較的単純な環境で正しく動作します。その結果、スタティック ルーティング システムはネットワークの変更に対応できません。

スタティック ルートは、指定されたゲートウェイが利用できなくなってもルーティング テーブルに保持されています。指定されたゲートウェイが利用できなくなった場合は、スタティック ルートをルーティング テーブルから手動で削除する必要があります。ただし、スタティック ルートは、指定されたインターフェイスが停止するとルーティング テーブルから削除され、インターフェイスが復旧すると最適用されます。


) ASA 1000V で動作中のルーティング プロトコルのアドミニストレーティブ ディスタンスよりも長いアドミニストレーティブ ディスタンスを指定してスタティック ルートを作成すると、ルーティング プロトコルで検出される指定の宛先へのルートがスタティック ルートより優先されます。スタティック ルートは、ダイナミックに検出されたルートがルーティング テーブルから削除された場合に限り使用されます。


インターフェイスごとに同じ宛先でコストの等しいルートを 3 つまで定義できます。複数のインターフェイス間を通る等コスト マルチパス(ECMP)ルーティングはサポートされていません。ECMP では、トラフィックは必ずしもルート間で均等に分割されるわけではありません。トラフィックは、送信元 IP アドレスおよび宛先 IP アドレスをハッシュするアルゴリズムに基づいて、指定したゲートウェイ間に分配されます。

スタティック ルートを設定するには、次の項を参照してください。

「スタティック ルートの追加または編集」

スタティック ルートの追加または編集

スタティック ルートを追加または編集するには、次のコマンドを入力します。

 

コマンド
目的
route if_name dest_ip mask gateway_ip [ distance ]
 

hostname(config)# route outside 10.10.10.0 255.255.255.0 192.168.1.1 [1]

スタティック ルートを追加できます。

dest_ip および mask 引数は宛先ネットワークの IP アドレスであり、 gateway_ip 引数はネクスト ホップ ルータのアドレスです。スタティック ルートに指定するアドレスは、ASA 1000Vに到達して NAT を実行する前のパケットにあるアドレスです。

distance 引数は、ルートのアドミニストレーティブ ディスタンスです。値を指定しない場合、デフォルトは 1 です。アドミニストレーティブ ディスタンスは、複数のルーティング プロトコル間でルートを比較するのに使用されるパラメータです。スタティック ルートのデフォルトのアドミニストレーティブ ディスタンスは 1 で、ダイナミック ルーティング プロトコルで検出されるルートより優先されますが、直接には接続されていないルートです。

OSPF で検出されるルートのデフォルトのアドミニストレーティブ ディスタンスは 110 です。スタティック ルートとダイナミック ルートのアドミニストレーティブ ディスタンスが同じ場合、スタティック ルートが優先されます。接続されているルートは常に、スタティック ルートおよびダイナミックに検出されたルートのどちらよりも優先されます。

次に、外部インターフェイス上の 3 台のゲートウェイにトラフィックを転送する、コストの等しいスタティック ルートの例を示します。ASA 1000Vは、指定された複数のゲートウェイ間にトラフィックを分散します。

hostname(config)# route outside 10.10.10.0 255.255.255.0 192.168.1.1
hostname(config)# route outside 10.10.10.0 255.255.255.0 192.168.1.2
hostname(config)# route outside 10.10.10.0 255.255.255.0 192.168.1.3
 

プロキシ A RP のディセーブル化

あるホストから同じイーサネット ネットワーク上の別のデバイスに IP トラフィックを送信する場合、そのホストは送信先のデバイスの MAC アドレスを知る必要があります。ARP は、IP アドレスを MAC アドレスに解決するレイヤ 2 プロトコルです。ホストは IP アドレスの所有者を尋ねる ARP 要求を送信します。その IP アドレスを所有するデバイスは、自分が所有者であることを自分の MAC アドレスで返答します。

プロキシ ARP は、デバイスが ARP 要求に対してその IP アドレスを所有しているかどうかに関係なく自分の MAC アドレスで応答するときに使用されます。NAT を設定し、ASA 1000V イーサネット インターフェイスと同じネットワーク上のマッピング アドレスを指定する場合、ASA 1000V でプロキシ ARP が使用されます。トラフィックがホストに到達できるようにする唯一の方法は、MAC アドレスが宛先のマッピング アドレスに割り当てられていると ASA 1000V がプロキシ ARP を使用して主張できるように設定することです。

まれに、NAT アドレスに対してプロキシ ARP をディセーブルにすることが必要になります。

既存のネットワークと重なる IPsec サイトツーサイト クライアント アドレス プールがある場合、ASA 1000V は、デフォルトで、すべてのインターフェイス上でプロキシ ARP を送信します。同じレイヤ 2 ドメイン上にもう 1 つインターフェイスがあると、そのインターフェイスは ARP 要求を検出し、自分の MAC アドレスで応答します。その結果、内部ホストへの IPsec サイトツーサイト クライアントのリターン トラフィックは、その誤ったインターフェイスに送信され、ドロップされます。この場合、プロキシ ARP が不要なインターフェイスに対してプロキシ ARP をディセーブルにする必要があります。

プロキシ ARP をディセーブルにするには、次のコマンドを入力します。

 

コマンド
目的

sysopt noproxyarp interface

 

hostname(config)# sysopt noproxyarp exampleinterface

プロキシ ARP をディセーブルにする。


 

スタティック ルートまたはデフォルト ルートのモニタリング

スタティック ルートの問題の 1 つは、ルートがアップ状態なのかダウン状態なのかを判定する固有のメカニズムがないことです。スタティック ルートは、ネクスト ホップ ゲートウェイが使用できなくなった場合でも、ルーティング テーブルに保持されています。スタティック ルートは、ASA 1000V 上の関連付けられたイーサネット インターフェイスがダウンした場合に限りルーティング テーブルから削除されます。

スタティック ルート トラッキング機能には、スタティック ルートの使用可能状況を追跡し、プライマリ ルートがダウンした場合のバックアップ ルートをインストールするための方式が用意されています。たとえば、ISP ゲートウェイへのデフォルト ルートを定義し、かつ、プライマリ ISP が使用できなくなった場合に備えて、セカンダリ ISP へのバックアップ デフォルト ルートを定義できます。

ASA 1000V では、定義されたモニタリング対象にスタティック ルートを関連付けることでこの機能を実行し、ICMP エコー要求を使用して対象をモニタリングします。指定された時間内にエコー応答がない場合は、そのオブジェクトはダウンしていると見なされ、関連付けられたルートはルーティング テーブルから削除されます。削除されたルートに代わって、すでに定義されているバックアップ ルートが使用されます。

モニタリング対象の選択時には、その対象が ICMP エコー要求に応答できることを確認してください。対象には任意のネットワーク オブジェクトを選択できますが、次のものを使用することを検討する必要があります。

ISP ゲートウェイ アドレス(デュアル ISP サポート用)

ネクスト ホップ ゲートウェイ アドレス(ゲートウェイの使用可能状況に懸念がある場合)

ASA 1000V が通信を行う必要のある対象ネットワーク上のサーバ(AAA サーバなど)

宛先ネットワーク上の永続的なネットワーク オブジェクト


) 夜間にシャットダウンするデスクトップ PC やノートブック PC は適しません。


スタティック ルート トラッキングは、スタティックに定義されたルートや、DHCP を通じて取得したデフォルト ルートに対して設定することができます。

スタティック ルート トラッキングを設定するには、次の手順を実行します。

手順の詳細

 

コマンド
目的

ステップ 1

sla monitor sla_id
 

hostname(config)# sla monitor sla_id

モニタリング プロセスを定義することにより、追跡されるオブジェクトのモニタリング パラメータを設定します。

新しいモニタリング プロセスを設定する場合は、SLA モニタ コンフィギュレーション モードに入ります。

タイプが定義済みでスケジュールが未設定のモニタリング プロセスのモニタリング パラメータを変更する場合は、自動的に SLA プロトコル コンフィギュレーション モードに入ります。

ステップ 2

type echo protocol ipIcmpEcho target_ip interface if_name
 

hostname(config-sla-monitor)# type echo protocol ipIcmpEcho target_ip interface if_name

モニタリング プロトコルを指定します。

タイプが定義済みでスケジュールが未設定のモニタリング プロセスのモニタリング パラメータを変更する場合は、自動的に SLA プロトコル コンフィギュレーション モードに入り、この設定は変更できません。

target_ip 引数は、トラッキング プロセスによって使用可能かどうかをモニタされるネットワーク オブジェクトの IP アドレスです。このオブジェクトが使用可能な場合、トラッキング プロセス ルートがルーティング テーブルにインストールされます。このオブジェクトが使用できない場合、トラッキング プロセスがルートを削除し、代わりにバックアップ ルートが使用されます。

ステップ 3

sla monitor schedule sla_id [ life { forever | seconds }] [ start-time { hh : mm [: ss ] [ month day | day month ] | pending | now | after hh : mm : ss }] [ ageout seconds ] [ recurring ]
 

hostname(config)# sla monitor schedule sla_id [life {forever | seconds}] [start-time {hh:mm[:ss] [month day | day month] | pending | now | after hh:mm:ss}] [ageout seconds] [recurring]

モニタリング プロセスのスケジュールを設定します。

一般に、モニタリング スケジュールには sla monitor schedule sla_id life forever start-time now コマンドを使用し、モニタリング コンフィギュレーションがテスト頻度を判別できるようにします。

ただし、このモニタリング プロセスを将来開始するようにしたり、指定した時刻だけに実行されるようにスケジュールを設定したりできます。

ステップ 4

track track_id rtr sla_id reachability
 

hostname(config)# track track_id rtr sla_id reachability

追跡されるスタティック ルートを SLA モニタリング プロセスに関連付けます。

track_id 引数は、このコマンドで割り当てるトラッキング番号です。 sla_id 引数は SLA プロセスの ID 番号です。

ステップ 5

追跡されるオブジェクトが到達可能なときに、ルーティング テーブルにインストールするスタティック ルートを定義するには、次のいずれかの手順を実行します。
これらのオプションによって、スタティック ルート、または DHCP を通じて取得されたデフォルト ルートを追跡できます。

route if_name dest_ip mask gateway_ip [ admin_distance ] track track_id
 

hostname(config)# route if_name dest_ip mask gateway_ip [admin_distance] track track_id

スタティック ルートが追跡されます。

スタティック ルート トラッキングでは、 route コマンドに tunneled オプションを使用できません。

 

hostname(config)# interface phy_if

hostname(config-if)# dhcp client route track track_id

hostname(config-if)# ip address dhcp setroute

hostname(config-if)# exit

DHCP を使用して取得されたデフォルト ルートが追跡されます。

DHCP を使用してデフォルト ルートを取得するには、 ip address dhcp コマンドで setroute キーワードを使用する必要があることに注意してください。

スタティック ルートまたはデフォルト ルートの設定例

次の例は、スタティック ルートの作成方法を示します。スタティック ルートは、宛先が 10.1.1.0/24 のトラフィックすべてを内部インターフェイスに接続されているルータ(10.1.2.45)に送信します。また、外部インターフェイスで 3 つの異なるゲートウェイにトラフィックを誘導する 3 つの等コスト スタティック ルートを定義し、トンネル トラフィックのデフォルト ルートを追加します。ASA 1000Vは、指定された複数のゲートウェイ間にトラフィックを分散します。

hostname(config)# route inside 10.1.1.0 255.255.255.0 10.1.2.45 1
hostname(config)# route outside 10.10.10.0 255.255.255.0 192.168.2.1
hostname(config)# route outside 10.10.10.0 255.255.255.0 192.168.2.2
hostname(config)# route outside 10.10.10.0 255.255.255.0 192.168.2.3
hostname(config)# route outside 0 0 192.168.2.4 tunneled


 

ASA 1000Vで受信した非暗号化トラフィックは、スタティック ルートも既知のルートも指定されていない場合、IP アドレスが 192.168.2.1、192.168.2.2、192.168.2.3 のゲートウェイの間に分散されます。ASA 1000V で受信した暗号化されたトラフィックは、スタティック ルートも既知のルートも指定されていない場合、IP アドレス 192.168.2.4 のゲートウェイに転送されます。

次に、10.1.1.0/24 宛てのすべてのトラフィックを、内部インターフェイスに接続されたルータ(10.1.2.45)に送信するスタティック ルートを作成する例を示します。

hostname(config)# route inside 10.1.1.0 255.255.255.0 10.1.2.45 1